Cybersécurité

Sécuriser l’avenir de la santé numérique : l’enjeu de la protection des données dans les systèmes de santé connectés

La convergence entre la santé et la technologie a donné naissance à un nouveau domaine : la cybersanté. Avec l’avènement des systèmes de santé connectés, les soins médicaux ont pris un virage numérique, offrant des avantages indéniables en termes d’accessibilité, d’efficacité et de qualité de soins.

La dématérialisation d’une partie des soins de santé en ligne, comme c’est le cas sur de nombreuses plateformes telles que Doctolib, représente une évolution majeure dans la prestation des soins médicaux. Les patients peuvent désormais avoir accès à des services médicaux sans tenir compte des barrières géographiques et temporelles. Cette approche améliore non seulement l’accessibilité aux soins, mais contribue également à désengorger les établissements de santé, les rendez-vous médicaux pouvant désormais être réalisés par un simple appel vidéo.

De plus, il convient de noter l’importance croissante des applications et appareils de santé connectés, devenus des outils essentiels dans la gestion proactive de la santé et du bien-être. Ces technologies permettent de surveiller en temps réel divers paramètres de sa santé, tels que la pression artérielle, la fréquence cardiaque, le sommeil, l’activité physique et bien plus encore. Parmi ces appareils, nous pouvons citer les montres connectées, les bracelets d’activité et les tensiomètres connectés. La collecte de ces données, en étant synchronisées avec des applications mobiles, permettent à l’individu concerné d’améliorer sa santé avec des fonctionnalités telles que le suivi de tendances ou la création de rapports personnalisés.

Toutefois, cette transformation numérique s’accompagne de nouveaux défis, c’est notamment le cas en matière de cybersécurité. En effet, les systèmes de santé connectés contiennent des données sensibles, qui sont une cible de choix pour les cybercriminels. Cela met en péril la confidentialité des données médicales et présente un danger important pour les personnes concernées.

Les risques d’insécurité dans les systèmes de santé connectés

Les systèmes de santé connectés, incluant les dossiers médicaux électroniques, les dispositifs médicaux connectés, et les services de télémédecine, apportent des améliorations considérables dans la gestion et l’accessibilité des soins. Néanmoins, elles introduisent également d’importants enjeux de sécurité susceptibles d’affecter la confidentialité, l’intégrité et l’accès aux données délicates des patients.

Parmi les menaces les plus préoccupantes figurent les cyberattaques ciblées. Les cybercriminels exploitent les vulnérabilités des systèmes informatiques des établissements de santé pour accéder à des informations sensibles telles que les dossiers médicaux des patients, les données de prescription et les informations financières. Les cyberattaques contre les hôpitaux notamment posent un risque sérieux non seulement pour la confidentialité des informations des patients, mais également pour l’opérabilité des services de soins. En effet, le détournement de ces informations sensibles peut entraîner des fraudes et des usurpations d’identité. Les attaques peuvent aussi cibler des appareils médicaux connectés, altérant leur fonctionnement et menaçant directement la santé et la sécurité des patients.

Les attaques par ransomware constituent une menace croissante pour les établissements de santé. Dans ces attaques, des cybercriminels infiltrent les systèmes informatiques des hôpitaux pour crypter leurs données, incluant des dossiers médicaux cruciaux et des informations opérationnelles, puis exigent le paiement de rançons pour le déchiffrement des données. Cette prise en otage numérique peut causer d’importantes interruptions, retardant ou rendant impossible l’accès aux informations vitales pour le traitement des patients. Ces attaques soulignent l’importance critique de renforcer la sécurité informatique dans les infrastructures de santé pour protéger contre de telles vulnérabilités.

Enfin, les failles de sécurité dans les applications de santé et les dispositifs portables sont une source majeure de préoccupations en matière de cybersécurité, ouvrant la porte à des dangers tels que le vol d’identité, la fraude médicale, et la manipulation des données de santé. Les conséquences d’une telle exposition vont bien au-delà des atteintes à la confidentialité, impactant la santé, la sécurité financière et la réputation des personnes concernées. Il est donc essentiel de porter de renforcer la sécurité des technologies de santé connectées pour assurer la confidentialité et la protection des données des patients.

La nécessité d’une protection des données de santé

La protection des données repose sur des mesures strictes de cybersécurité, notamment :

  • Le cryptage de données : le cryptage rend les informations médicales indéchiffrables sans la clé appropriée, une mesure cruciale pour sécuriser ces données pendant leur stockage et leur envoi.
  • L’authentification forte des utilisateurs : l’utilisation de méthodes d’authentification robustes, telles que la biométrie ou l’authentification à deux étapes, assure que l’accès aux données de santé est réservé exclusivement aux utilisateurs autorisés.
  • Gestion des accès : définir des politiques strictes de contrôle d’accès, afin de restreindre la visualisation ou la modification des données de santé.
  • Formation et sensibilisation
  • Conformité règlementaire : respecter les lois relatives à la protection des données au niveau national et international comme le Règlement Général sur la Protection des Données (RGPD) en Europe, ou la loi sur la protection des données en Suisse (LPD).

La règlementation en vigueur

L’Union Européenne a adopté le Règlement Général sur la Protection des Données, qui s’applique depuis le 25 mai 2018. Ce règlement fournit un cadre pour assurer la protection des informations personnelles et sensibles. Ces normes légales dictent comment les données personnelles doivent être collectées, traitées, stockées, et partagées, en imposant des obligations strictes aux organisations pour garantir la confidentialité, l’intégrité, et la disponibilité des données. L’objectif est donc d’assurer la protection des données privées de tout un chacun, mais il est possible qu’un individu partage ses données privées avec une autre personne physique ou morale, on parle de portabilité des données personnes. Pour cela, il est exigé que ce dernier donne son consentement de manière libre, spécifique, informée et équivoque. De plus, la charte des droits fondamentaux de l’Union Européenne dispose que les citoyens de l’Union européenne ont droit à la protection de leurs données à caractère personnel.

En Suisse, la nouvelle loi sur la protection des données (LPD) et les modifications de ses ordonnances sont entrées en vigueur le 1er septembre 2023. Ces modifications ont pour objectif de renforcer la protection de la sphère privée et l’autodétermination des personnes en ce qui concerne leurs données.

En outre, le but principal de cette loi vise à protéger la personnalité et les droits fondamentaux des personnes physiques dont les données personnelles font l’objet d’un traitement. Elle régit le traitement de données personnelles concernant des personnes physiques effectué par des personnes privées ainsi que des organes fédéraux. Elle s’applique aux états de fait qui déploient des effets en Suisse, même s’ils se sont produits à l’étranger. Elle apporte notamment une définition des termes en rapport avec la protection de données et édicte divers principes, comme le fait que les données personnelles doivent être détruites ou anonymisées dès qu’elles ne sont plus nécessaires au regard des finalités du traitement. De plus, tout traitement de données personnelles doit être licite et conforme aux principes de la bonne foi et de la proportionnalité.

La nouvelle réglementation établit le devoir d’informer du responsable du traitement et le droit pour les individus concernés d’accéder à leurs propres données personnelles. Une personne ne peut exercer ses droits à la protection des données que si elle est consciente que ses informations sont sujettes à traitement. La protection de ces données est renforcée car le Préposé fédéral à la protection des données et à la transparence (PFPDT) aura davantage de compétences en matière de surveillance et les sanctions pour non-respect des normes de protection des données ont été rendues plus sévères.

Cybersécurité
Victoire Bouquet
Cliquez sur la photo pour plus d’articles !
SOURCES (cliquez sur les titres pour en savoir plus)

https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-97592.html

https://www.ge.ch/actualite/nouvelle-loi-protection-donnees-nlpd-est-entree-vigueur-4-09-2023#:~:text=La%20nouvelle%20l%C3%A9gislation%20suisse%20est,donn%C3%A9es%20qui%20date%20de%201992.

https://www.fedlex.admin.ch/eli/cc/2022/491/fr

https://www.baloise.ch/fr/clients-entreprises/creer-une-entreprise/apres-la-creation-d-enteprise/droit/loi-suisse-protection-des-donnees.html

https://www.cnil.fr/fr/en-europe-et-dans-le-monde#:~:text=L’Union%20europ%C3%A9enne%20a%20adopt%C3%A9,contr%C3%B4le%20sur%20leurs%20donn%C3%A9es%20personnelles.

https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_fr

https://www.kmu.admin.ch/kmu/fr/home/faits-et-tendances/digitalisation/protection-des-donnees/reglementation-ue-pour-la-protection-des-donnees.html

https://cdn.who.int/media/docs/default-source/digital-health-documents/global-observatory-on-digital-health/pdncs_ci.pdf?sfvrsn=4785b73c_3

https://www.he-arc.ch/gestion/formation-continue/cas-cybercriminalite-specialisation-cyberenquete/

https://www.heidi.news/explorations/surveillance-numerique-jusqu-ou-sommes-nous-traques/comment-la-cybersante-fait-de-nous-des-malades-en-puissance

https://blogs.letemps.ch/dr-jean-gabriel-jeannot/tag/cybersante/

https://fr.wikipedia.org/wiki/Ran%C3%A7ongiciel